CVE-2026-44244

Nome do Software Vulnerável e Versões Afetadas GitPython versões anteriores a 3.1.49

Descrição A função set value() em GitConfigParser passa valores para o configparser do Python sem validar a presença de quebras de linha. Embora a função write() converta quebras de linha incorporadas em linhas de continuação recuadas, o Git ainda aceita uma estrofe [core] recuada como um cabeçalho de seção. Isso permite que um invasor injete uma configuração core.hooksPath, redirecionando a execução de hooks do Git (como commit, merge ou checkout) para um caminho controlado pelo invasor. Isso resulta em um envenenamento persistente da configuração do repositório, onde scripts podem ser executados no contexto de qualquer usuário que realize operações Git no repositório afetado.

Recomendações Atualize para a versão 3.1.49. Como medida paliativa temporária, restrinja ou sanitize qualquer entrada externa passada para a função set value() para garantir que ela não contenha retornos de carro (CR), alimentações de linha (LF) ou caracteres NUL.